Selon le dernier rapport de recherche d'ESG (Enterprise Strategy Group) et de l'Information System Security Association International (ISSA), 57 % des entreprises affirment avoir été touchées par la pénurie mondiale de compétences en cybersécurité, tandis que 44 % d'entre elles pensent que cette tension s'est aggravée au cours des dernières années. Le résultat ? La charge de travail du personnel en cybersécurité existant augmente, les demandes d'emploi sont ouvertes pendant des semaines ou des mois, et les taux d'épuisement et d'attrition sont élevés pour ces professionnels.
De nombreux postes en cybersécurité en sous-effectif
D'après l'étude plusieurs métiers s'avèrent être le plus en sous-effectif. Ainsi :
- 37 % des entreprises manquent d'architectes sécurité. Cette pénurie est aiguë dans deux domaines : ceux dédiés au cloud et ceux qui se concentrent sur l'intégration IT, à savoir la consolidation de plusieurs technologies dans une architecture de plateforme cohérente ;
- 35 % des sociétés manquent d'ingénieurs en sécurité. Ces derniers sont les personnes qui installent, configurent et maintiennent les différentes briques de protection. Donc un manque de ces talents équivaut à une utilisation sous-optimale des technologies de sécurité. ESG constate également une demande croissante de personnes qualifiées en ingénierie de détection (c'est-à-dire la détection as code, la création de règles Sigma/Yara, etc.). Ainsi, la prolifération de fournisseurs tels qu'Anvilogic, CardinalOps et SOC Prime vise à combler le fossé de l'ingénierie de détection ;
- 34 % des sondés manquent d'analystes SOC de niveau 3. Ce sont les personnes les plus expérimentées qui reçoivent les escalades/investigations difficiles et sont souvent chargés de la chasse proactive des menaces. Au lieu d'analystes de niveau 3, les entreprises n'ont d'autre choix que de demander à des généralistes d'effectuer un travail spécialisé ;
- 33 % des répondants manquent d'analystes en gestion des vulnérabilités. Une pénurie dans ce domaine entraîne une augmentation du cyber-risque car les actifs informatiques restent non recensés, mal configurés et vulnérables ;
- 31 % des organisations manquent de RSSI, de CISO ou d'autres postes de direction dans le domaine de la cybersécurité. Cette pénurie signifie que de nombreuses structures exécutent des programmes de sécurité sans le leadership nécessaire pour identifier les cyber-risques, gérer un programme de sécurité d'entreprise et travailler avec la direction pour aligner la sécurité sur l'entreprise.
Pourquoi une économie en berne aggravera la pénurie de compétences en cybersécurité
La pénurie de compétences en cybersécurité frappe les entreprises depuis des années. Mais un nouveau phénomène apparait : l'état actuel de l'économie. Au cours des 12-18 prochains mois, les risques de récession exacerberont l'impact de cette tension. Que retenir de cette situation ?
Tout d'abord les professionnels de la cybersécurité seront plus sélectifs en matière de recherche d'emploi. Au cours des 10 dernières années, ces derniers se sont vu offrir de généreuses rémunérations, souvent liées à des options d'achat d'actions. Maintenant que les marchés sont en baisse et que les introductions en bourse se raréfient les candidats éviteront les actions et apprécieront mieux de l'argent sonnant et trébuchant. Au-delà de cette seule compensation, les incertitudes économiques ont tendance à déboucher sur un comportement plus averse au risque. Les experts sont susceptibles de se replier, d'adopter une approche prudente sur la progression de carrière et d'attendre que le climat des affaires se stabilise.
Ensuite, l'utilisation croissante des services de sécurité épuisera le vivier de talents. Il n'y a qu'à regarder les recherches actuelles pour voir que de plus en plus d'entreprises se tournent vers les services managés pour épauler le personnel de sécurité interne surchargé et sous-qualifié. Un exemple ? Une étude récente d'ESG sur les opérations de sécurité indique que 85 % des structures utilisent service de détection et de réponse en mode managé (MDR), et 88 % prévoient d'augmenter leur utilisation de ces services à l'avenir. Au fur et à mesure que ce modèle se poursuit, les fournisseurs de services dans ce domaine (MSSP) devront augmenter leurs effectifs pour gérer la demande croissante. Étant donné que les modèles économiques de ces sociétés sont basés sur la mise à l'échelle des opérations grâce à l'automatisation, ils calculeront un rendement plus élevé sur la productivité des employés et seront disposés à proposer une rémunération plus généreuse que les sociétés. Une entreprise de services de sécurité agressive dans une petite ville pourrait facilement obtenir un quasi-monopole sur les talents locaux. Au niveau de la direction, nous verrons également une demande croissante pour les services de CISO virtuels (vCISO) pour créer et gérer des programmes de sécurité à court terme.
Enfin, le gel des embauches constituera un obstacle. En période de ralentissement économique, les sociétés prennent souvent des décisions générales draconiennes, comme couper la formation, réduire les effectifs ou geler toutes les nouvelles embauches. Lorsque cela se produit, les RSSI doivent se battre avec les RH pour chaque embauche individuelle nécessaire, ralentissant le processus de recrutement et obligeant les organisations à gérer la sécurité malgré le manque de personnel ou de compétences essentielles.
Alors le risque de récession met un frein aux travaux des RSSI, en particulier ceux qui sont déjà confrontés à des problèmes de personnel de sécurité et de compétences. Que peuvent-ils faire? Augmenter leurs budgets de formation, renforcer leurs engagements envers les employés clés, travailler avec les fournisseurs pour tirer le meilleur parti de leurs produits, et compléter le personnel avec des prestataires de services. Un programme bien chargé pour les mois et années qui viennent...